導言：作為寫作愛好者，不可錯過為您精心挑選的10篇入侵檢測論文，它們將為您的寫作提供全新的視角，我們衷心期待您的閱讀，并希望這些內容能為您提供靈感和參考。

篇1

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章緒論

§1.1概述

隨著以Internet為代表的全球信息化浪潮的來臨，信息網絡技術的應用正日益廣泛，應用層次正在深入，應用領域也從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，其中以黨政系統(tǒng)、大中院校網絡系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領域等為典型。伴隨網絡的普及，公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面，網絡化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴充性。另一方面，也正是由于具有這些特點增加了網絡信息系統(tǒng)的不安全性。

開放性的網絡，導致網絡所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對網絡通信協議和實現實施攻擊，可以是對軟件實施攻擊，也可以對硬件實施攻擊。國際性的網絡，意味著網絡的攻擊不僅僅來自本地網絡的用戶，也可以來自linternet上的任何一臺機器，也就是說，網絡安全所面臨的是一個國際化的挑戰(zhàn)。開放的、國際化的Internet的發(fā)展給政府機構、企事業(yè)單位的工作帶來了革命性的變革和開放，使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet，他們可以從異地取回重要數據，同時也面臨Internet開放所帶來的數據安全的挑戰(zhàn)與危險。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵，己成為政府機構、企事業(yè)單位信息化建設健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內部網絡由公共網絡互聯起來，這種互聯方式面臨多種安全威脅，極易受到外界的攻擊，導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內己有許多成熟的防火墻及其他相關安全產品，并且這些產品早已打入市場，但是對于安全產品來說，要想進入我軍部隊。我們必須自己掌握安全測試技術，使進入部隊的安全產品不出現問題，所以對網絡安全測試的研究非常重要，具有深遠的意義。

§1.2本文主要工作

了解防火墻的原理、架構、技術實現

了解防火墻的部署和使用配置

熟悉防火墻測試的相關標準

掌握防火墻產品的功能、性能、安全性和可用性的測試方法

掌握入侵檢測與VPN的概念及相關測試方法

第二章防火墻的原理、架構、技術實現

§2.1什么是防火墻？

防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

§2.2防火墻的原理

隨著網絡規(guī)模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統(tǒng)。

§2.3防火墻的架構

防火墻產品的三代體系架構主要為：

第一代架構：主要是以單一cpu作為整個系統(tǒng)業(yè)務和管理的核心，cpu有x86、powerpc、mips等多類型，產品主要表現形式是pc機、工控機、pc-box或risc-box等；

第二代架構：以np或asic作為業(yè)務處理的主要核心，對一般安全業(yè)務進行加速，嵌入式cpu為管理核心，產品主要表現形式為box等；

第三代架構：iss（integratedsecuritysystem）集成安全體系架構，以高速安全處理芯片作為業(yè)務處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務的高層應用，產品主要表現形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術實現

從Windows軟件防火墻的誕生開始，這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進化與升級。從最早期的只能分析來源地址，端口號以及未經處理的報文原文的封包過濾防火墻，后來出現了能對不同的應用程序設置不同的訪問網絡權限的技術；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時候單純的一個截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強大的整體性的安全套件。

第三章防火墻的部署和使用配置

§3.1防火墻的部署

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務器型防火墻，但由于監(jiān)測型防火墻技術的實現成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代型產品為主，但在某些方面也已經開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網絡系統(tǒng)的安全性需求，同時也能有效地控制安全系統(tǒng)的總擁有成本。

實際上，作為當前防火墻產品的主流趨勢，大多數服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的，應用網關能提供對協議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應用，應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協議的有效支持和對網絡整體性能的影響上。

----那么我們究竟應該在哪些地方部署防火墻呢？

----首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵；其次，如果公司內部網絡規(guī)模較大，并且設置有虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻；第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

§3.2防火墻的使用配置

一、防火墻的配置規(guī)則：

沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數據包)，任何數據包無法穿過防火墻。(內部發(fā)起的連接可以回包。通過ACL開放的服務器允許外部發(fā)起連接)

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

inside訪問dmz需要配合static(靜態(tài)地址轉換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設備的設置步驟：

1、確定設置防火墻的部署模式；

2、設置防火墻設備的IP地址信息（接口地址或管理地址（設置在VLAN1上））；

3、設置防火墻設備的路由信息；

4、確定經過防火墻設備的IP地址信息（基于策略的源、目標地址）；

5、確定網絡應用（如FTP、EMAIL等應用）；

6、配置訪問控制策略。

第四章防火墻測試的相關標準

防火墻作為信息安全產品的一種，它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔，中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準：

4.1規(guī)則配置方面

要使防火墻軟件更好的服務于用戶，除了其默認的安全規(guī)則外，還需要用戶在使用過程中不斷的完善其規(guī)則；而規(guī)則的設置是否靈活方便、實際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個特色。

§4.2防御能力方面

對于防火墻防御能力的表現，由于偶然因素太多，因此無法從一個固定平等的測試環(huán)境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入，但大致可以做為一個性能參考。

§4.3主動防御提示方面

對于網絡訪問、系統(tǒng)進程訪問、程序運行等本機狀態(tài)發(fā)生改變時，防火墻軟件一般都會有主動防御提示出現。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。

§4.4自定義安全級別方面

用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規(guī)則。防火墻可設置系統(tǒng)防火墻的安全等級、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個級別：

高級：預設的防火墻安全等級，用戶可以上網，收發(fā)郵件；l

中級：預設的防火墻安全等級，用戶可以上網，收發(fā)郵件，網絡聊天，FTP、Telnet等；l

低級：預設的防火墻安全等級，只對已知的木馬進行攔截，對于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規(guī)則，可以根據需要自行進行配置。l

§4.5其他功能方面

這主要是從軟件的擴展功能表現、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規(guī)則、惡意軟件檢測、個人隱私保護等豐富的功能項，是否可以滿足用戶各方面的需要。

§4.6資源占用方面

這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度?？偟膩硎蔷褪琴Y源占用率越低越好，啟動的速度越快越好。

§4.7軟件安裝方面

這方面主要測試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。

§4.8軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善，相反地，簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項，這方便用戶根據不同的安全級別啟動相應的防護

第五章防火墻的入侵檢測

§5.1什么是入侵檢測系統(tǒng)？

入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程，它不僅檢測來自外部的入侵行為，同時也檢測內部用戶的未授權活動。

入侵檢測系統(tǒng)(IDS)是從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門，它作為一種積極主動的安全防護技術，從網絡安全立體縱深、多層次防御的角度出發(fā)，對防范網絡惡意攻擊及誤操作提供了主動的實時保護，從而能夠在網絡系統(tǒng)受到危害之前攔截和響應入侵

§5.2入侵檢測技術及發(fā)展

自1980年產生IDS概念以來，已經出現了基于主機和基于網絡的入侵檢測系統(tǒng)，出現了基于知識的模型識別、異常識別和協議分析等入侵檢測技術，并能夠對百兆、千兆甚至更高流量的網絡系統(tǒng)執(zhí)行入侵檢測。

入侵檢測技術的發(fā)展已經歷了四個主要階段：

第一階段是以基于協議解碼和模式匹配為主的技術，其優(yōu)點是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測，漏報率高。

第二階段是以基于模式匹配+簡單協議分析+異常統(tǒng)計為主的技術，其優(yōu)點是能夠分析處理一部分協議，可以進行重組;缺點是匹配效率較低，管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。

第三階段是以基于完全協議分析+模式匹配+異常統(tǒng)計為主的技術，其優(yōu)點是誤報率、漏報率和濫報率較低，效率高，可管理性強，并在此基礎上實現了多級分布式的檢測管理;缺點是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協議分析+模式匹配+異常統(tǒng)計為主的技術，其優(yōu)點是入侵管理和多項技術協同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術為核心，可構造一個積極的動態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測系統(tǒng)應該是具有集成HIDS和NIDS的優(yōu)點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯等配套服務功能的智能化系統(tǒng)§5.3入侵檢測技術分類

從技術上講，入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協議分析三類。而主要的入侵檢測方法有特征檢測法、概率統(tǒng)計分析法和專家知識庫系統(tǒng)。

(1)基于知識的模式識別

這種技術是通過事先定義好的模式數據庫實現的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監(jiān)視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規(guī)則時，根據模式匹配原則判別是否發(fā)生了攻擊行為。

模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區(qū)分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

(2)基于知識的異常識別

這種技術是通過事先建立正常行為檔案庫實現的，其基本思想是：首先把主體的各種正?；顒佑媚撤N形式描述出來，并建立“正?；顒訖n案”，當某種活動與所描述的正?；顒哟嬖诓町悤r，就認為是“入侵”行為，進而被檢測識別。

異常識別的關鍵是描述正?；顒雍蜆嫿ㄕ；顒訖n案庫。

利用行為進行識別時，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

以下是幾種基于知識的異常識別的檢測方法：

1)基于審計的攻擊檢測技術

這種檢測方法是通過對審計信息的綜合分析實現的，其基本思想是：根據用戶的歷史行為、先前的證據或模型，使用統(tǒng)計分析方法對用戶當前的行為進行檢測和判別，當發(fā)現可疑行為時，保持跟蹤并監(jiān)視其行為，同時向系統(tǒng)安全員提交安全審計報告。

2)基于神經網絡的攻擊檢測技術

由于用戶的行為十分復雜，要準確匹配一個用戶的歷史行為和當前的行為是相當困難的，這也是基于審計攻擊檢測的主要弱點。

而基于神經網絡的攻擊檢測技術則是一個對基于傳統(tǒng)統(tǒng)計技術的攻擊檢測方法的改進方向，它能夠解決傳統(tǒng)的統(tǒng)計分析技術所面臨的若干問題，例如，建立確切的統(tǒng)計分布、實現方法的普遍性、降低算法實現的成本和系統(tǒng)優(yōu)化等問題。

3)基于專家系統(tǒng)的攻擊檢測技術

所謂專家系統(tǒng)就是一個依據專家經驗定義的推理系統(tǒng)。這種檢測是建立在專家經驗基礎上的，它根據專家經驗進行推理判斷得出結論。例如，當用戶連續(xù)三次登錄失敗時，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測技術

攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大，甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫，它對已知攻擊可以詳細、準確地報告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的，它雖無法準確判斷出攻擊的手段，但可以發(fā)現更廣泛的、甚至未知的攻擊行為。

§5.4入侵檢測技術剖析

1）信號分析

對收集到的有關系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為等信息，一般通過三種技術手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)已有模式數據庫進行比較，從而發(fā)現違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數學表達式來表示安全狀態(tài)的變化）。一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優(yōu)點是只需收集相關的數據集合，顯著減少系統(tǒng)負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。

3）統(tǒng)計分析

統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，本來都默認用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優(yōu)點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發(fā)現被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發(fā)現。缺點是一般以批處理方式實現，用于事后分析而不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統(tǒng)進行全面地掃描檢查。

§5.5防火墻與入侵檢測的聯動

網絡安全是一個整體的動態(tài)的系統(tǒng)工程，不能靠幾個產品單獨工作來進行安全防范。理想情況下，整個系統(tǒng)的安全產品應該有一個響應協同，相互通信，協同工作。其中入侵檢測系統(tǒng)和防火墻之間的聯動就能更好的進行安全防護。圖8所示就是入侵檢測系統(tǒng)和防火墻之間的聯動，當入侵檢測系統(tǒng)檢測到入侵后，通過和防火墻通信，讓防火墻自動增加規(guī)則，以攔截相關的入侵行為，實現聯動聯防。

§5.6什么是VPN?

VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或Windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。

虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯網虛擬專用網。

§5.7VPN的特點

1.安全保障雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面，由于VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。

2.服務質量保證（QoS）

VPN網應當為企業(yè)數據提供不同等級的服務質量保證。不同的用戶和業(yè)務對服務質量保證的要求差別較大。在網絡優(yōu)化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，使實時性要求高的數據得不到及時發(fā)送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分實現帶寬管理，使得各類數據能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。

3.可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

§5.8VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網絡的世界里，要由VPN防火墻過濾的就是承載通信數據的通信包。

最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經裝備的TCP/IP協議棧；有的在已有的協議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護（比如SMTP或者HTTP協議等）。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻，因為他們的工作方式都是一樣的：分析出入VPN防火墻的數據包，決定放行還是把他們扔到一邊。

所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個網段之間隔了一個VPN防火墻，VPN防火墻的一端有臺UNIX計算機，另一邊的網段則擺了臺PC客戶機。

當PC客戶機向UNIX計算機發(fā)起telnet請求時，PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協議棧準備發(fā)送。接下來，協議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。

現在我們“命令”（用專業(yè)術語來說就是配制）VPN防火墻把所有發(fā)給UNIX計算機的數據包都給拒了，完成這項工作以后，比較好的VPN防火墻還會通知客戶程序一聲呢！既然發(fā)向目標的IP數據沒法轉發(fā)，那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令VPN防火墻專給那臺可憐的PC機找茬，別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能：根據IP地址做轉發(fā)判斷。但要上了大場面這種小伎倆就玩不轉了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發(fā)決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個：一個是虛警率太高，一個是檢測速度太慢?，F有的入侵檢測系統(tǒng)還有其他技術上的致命弱點。因此，可以這樣說，入侵檢測產品仍具有較大的發(fā)展空間，從技術途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術（模式識別和完整性檢測）外，應重點加強統(tǒng)計分析的相關技術研究。

但無論如何，入侵檢測不是對所有的入侵都能夠及時發(fā)現的，即使擁有當前最強大的入侵檢測系統(tǒng)，如果不及時修補網絡中的安全漏洞的話，安全也無從談起。

同樣入侵檢測技術也存在許多缺點，IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現在以下幾個方面：

1)利用加密技術欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動進攻，使IDS無法反應;

4)發(fā)動大規(guī)模攻擊，使IDS判斷出錯;

5)直接破壞IDS;

6)智能攻擊技術，邊攻擊邊學習，變IDS為攻擊者的工具。

我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發(fā)展。

參考文獻：

1..MarcusGoncalves著。宋書民，朱智強等譯。防火墻技術指南[M]。機械工業(yè)出版社

篇2

2衛(wèi)星通信網入侵檢測系統(tǒng)的實現

2．1入侵檢測系統(tǒng)的體系結構

入侵檢測是檢測計算機網絡和系統(tǒng)以發(fā)現違反安全策略事件的過程。如圖2所示，作為入侵檢測系統(tǒng)至少應該包括三個功能模塊：提供事件記錄的信息源、發(fā)現入侵跡象的分析引擎和基于分析引擎的響應部件。CIDF闡述了一個入侵檢測系統(tǒng)的通用模型，即入侵檢測系統(tǒng)可以分為4個組件：事件產生器、事件分析器、響應單元、事件數據庫。

2．2入侵檢測系統(tǒng)的功能

衛(wèi)星通信網絡采用的是分布式的入侵檢測系統(tǒng)，其主要功能模塊包括：（1）數據采集模塊。收集衛(wèi)星發(fā)送來的各種數據信息以及地面站提供的一些數據，分為日志采集模塊、數據報采集模塊和其他信息源采集模塊。（2）數據分析模塊。對應于數據采集模塊，也有三種類型的數據分析模塊：日志分析模塊、數據報分析模塊和其他信息源分析模塊。（3）告警統(tǒng)計及管理模塊。該模塊負責對數據分析模塊產生的告警進行匯總，這樣能更好地檢測分布式入侵。（4）決策模塊。決策模塊對告警統(tǒng)計上報的告警做出決策，根據入侵的不同情況選擇不同的響應策略，并判斷是否需要向上級節(jié)點發(fā)出警告。（5）響應模塊。響應模塊根據決策模塊送出的策略，采取相應的響應措施。其主要措施有：忽略、向管理員報警、終止連接等響應。（6）數據存儲模塊。數據存儲模塊用于存儲入侵特征、入侵事件等數據，留待進一步分析。（7）管理平臺。管理平臺是管理員與入侵檢測系統(tǒng)交互的管理界面。管理員通過這個平臺可以手動處理響應，做出最終的決策，完成對系統(tǒng)的配置、權限管理，對入侵特征庫的手動維護工作。

2．3數據挖掘技術

入侵檢測系統(tǒng)中需要用到數據挖掘技術。數據挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機的數據中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識的過程。將數據挖掘技術應用于入侵檢測系統(tǒng)的主要優(yōu)點：（1）自適應能力強。專家根據現有的攻擊從而分析、建立出它們的特征模型作為傳統(tǒng)入侵檢測系統(tǒng)規(guī)則庫。但是如果一種攻擊跨越較長一段時間，那么原有的入侵檢測系統(tǒng)規(guī)則庫很難得到及時更新，并且為了一種新的攻擊去更換整個系統(tǒng)的成本將大大提升。因為應用數據挖掘技術的異常檢測與信號匹配模式是不一樣的，它不是對每一個信號一一檢測，所以新的攻擊可以得到有效的檢測，表現出較強實時性。（2）誤警率低。因為現有系統(tǒng)的檢測原理主要是依靠單純的信號匹配，這種生硬的方式，使得它的報警率與實際情況不一致。數據挖掘技術與入侵檢測技術相結合的系統(tǒng)是從等報發(fā)生的序列中發(fā)現隱含在其中的規(guī)律，可以過濾出正常行為的信號，從而降低了系統(tǒng)的誤警率。（3）智能性強。應用了數據挖掘的入侵檢測系統(tǒng)可以在人很少參與的情況下自動地從大量的網絡數據中提取人們不易發(fā)現的行為模式，也提高了系統(tǒng)檢測的準確性。

篇3

2網絡入侵檢測的重要性與必要性分析

網絡入侵檢測，就是對網絡入侵行為的發(fā)覺。與其他安全技術相比而言，入侵檢測技術并不是以建立安全和可靠的網絡環(huán)境為主，而是以分析和處理對網絡用戶信息構成威脅的行為，進而進行非法控制來確保網絡系統(tǒng)的安全。它的主要目的是對用戶和系統(tǒng)進行檢測與分析，找出系統(tǒng)中存在的漏洞與問題，一旦發(fā)現攻擊或威脅就會自動及時地向管理人員報警，同時對各種非法活動或異常活動進行識別、統(tǒng)計與分析。

3數據挖掘在網絡入侵檢測中的應用分析

在使用數據挖掘技術對網絡入侵行為進行檢測的過程中，我們可以通過分析有用的數據或信息來提取用戶的行為特征和入侵規(guī)律，進而建立起一個相對完善的規(guī)則庫來進行入侵檢測。該檢測過程主要是數據收集——數據預處理——數據挖掘，以下是在對已有的基于數據挖掘的網絡入侵檢測的模型結構圖進行闡述的基礎上進行一些優(yōu)化。

3.1綜合了誤用檢測和異常檢測的模型

為改進前綜合誤用檢測和異常檢測的模型。從圖2可以看出，它是綜合利用了誤用檢測和異常檢測模型而形成的基于數據挖掘的網絡入侵檢測模型。其優(yōu)點在于通過結合誤用檢測器和異常檢測器，把所要分析的數據信息減少了很多，大大縮小了數據范圍。其劣勢在于當異常檢測器檢測到新的入侵檢測后，僅僅更新了異常檢測器，而沒有去及時地更新誤用檢測器，這就無形中增加了工作量。對于這一不足之處，筆者提出了以下改進意見。

3.2改進后的誤用檢測和異常檢測模型

筆者進行了一些改進，以形成一種更加有利的基于數據挖掘的入侵檢測模型，基礎上進行了一定的優(yōu)化。一是把從網絡中獲取的網絡數據包發(fā)送到數據預處理器中，由它進行加工處理，然后使用相應的關聯規(guī)則找出其中具有代表性的規(guī)則，放入關聯規(guī)則集中，接下來用聚類規(guī)則將關聯規(guī)則所得的支持度和可信度進行聚類優(yōu)化。此后，我們可根據規(guī)定的閾值而將一部分正常的數據刪除出去，這就大大減少了所要分析的數據量。此時可以把剩下的那些數據發(fā)送到誤用檢測器中進行檢測，如果誤用檢測器也沒有檢測到攻擊行為，則把該類數據發(fā)送到異常檢測器中再次進行檢測，與上面的例子一樣，這個異常檢測器實際上也起到了一個過濾的作用，以此來把海量的正常數據過濾出去，相應地數據量就會再一次變少，這就方便了后期的挖掘。這一模型系統(tǒng)的一大特點就是為了避免重復檢測，利用對數據倉庫的更新來完善異常檢測器和誤用檢測器。也就是說，根據異常檢測器的檢測結果來對異常檢測器和誤用檢測器進行更新，若測得該行為是正常行為，那么就會更新異常檢測器，若測得該行為是攻擊行為，那么就更新誤用檢測器來記錄該次的行為，從而方便下次進行重復的檢測。

篇4

1前言

在入侵檢測系統(tǒng)中，為了提高系統(tǒng)的性能，包括降低誤報率和漏報率，縮短反應時間等，學者們引入了許多方法，如專家系統(tǒng)、神經網絡、遺傳算法和數據挖掘中的聚類，分類等各種算法。例如：Cooper&Herkovits提出的一種基于貪心算法的貝葉斯信念網絡，而Provan&SinghProvan，G.M&SinghM和其他學者報告了這種方法的優(yōu)點。貝葉斯網絡說明聯合條件概率分布，為機器學習提供一種因果關系的圖形，能有效的處理某些問題，如診斷：貝葉斯網絡能正確的處理不確定和有噪聲的問題，這類問題在任何檢測任務中都很重要。

然而，在分類算法的比較研究發(fā)現，一種稱作樸素貝葉斯分類的簡單貝葉斯算法給人印象更為深刻。盡管樸素貝葉斯的分類器有個很簡單的假定，但從現實數據中的實驗反復地表明它可以與決定樹和神經網絡分類算法相媲美[1]。

在本文中，我們研究樸素貝葉斯分類算法，用來檢測入侵審計數據，旨在開發(fā)一種更有效的，檢驗更加準確的算法。

2貝葉斯分類器

貝葉斯分類是統(tǒng)計學分類方法。它們可以預測類成員關系的可能性，如給定樣本屬于一個特定類的概率。

樸素貝葉斯分類[2]假定了一個屬性值對給定類的影響獨立于其它屬性的值，這一假定稱作類條件獨立。

設定數據樣本用一個n維特征向量X={x1，x2，，xn}表示，分別描述對n個屬性A1，A2，，An樣本的n個度量。假定有m個類C1，C2，，Cm。給定一個未知的數據樣本X（即沒有類標號），樸素貝葉斯分類分類法將預測X屬于具有最高后驗概率（條件X下）的類，當且僅當P(Ci|X)>P(Cj|X)，1≤j≤m，j≠i這樣，最大化P(Ci|X)。其中P(Ci|X)最大類Ci稱為最大后驗假定，其原理為貝葉斯定理：

公式(1)

由于P(X)對于所有類為常數，只需要P(X|Ci)P(Ci)最大即可。并據此對P(Ci|X)最大化。否則，最大化P(X|Ci)P(Ci)。如果給定具有許多屬性的數據集，計算P(X|Ci)P(Ci)的開銷可能非常大。為降低計算P(X|Ci)的開銷，可以做類條件獨立的樸素假定。給定樣本的類標號，假定屬性值相互條件獨立，即在屬性間，不存在依賴關系，這樣，

公式(2)

概率，可以由訓練樣本估值：

(1)如果Ak是分類屬性，則P(xk|Ci)=sik/si其中sik是Ak上具有值xk的類Ci的訓練樣本數，而si是Ci中的訓練樣本數。

(2)如果Ak是連續(xù)值屬性，則通常假定該屬性服從高斯分布。因而

公式(3)

其中，給定類Ci的訓練樣本屬性Ak的值，是屬性Ak的高斯密度函數，而分別為平均值和標準差。

樸素貝葉斯分類算法(以下稱為NBC)具有最小的出錯率。然而，實踐中并非如此，這是由于對其應用假定（如類條件獨立性）的不確定性，以及缺乏可用的概率數據造成的。主要表現為：

①不同的檢測屬性之間可能存在依賴關系，如protocol_type，src_bytes和dst_bytes三種屬性之間總會存在一定的聯系；

②當連續(xù)值屬性分布是多態(tài)時，可能產生很明顯的問題。在這種情況下，考慮分類問題涉及更加廣泛，或者我們在做數據分析時應該考慮另一種數據分析。

后一種方法我們將在以下章節(jié)詳細討論。

3樸素貝葉斯的改進：核密度估計

核密度估計是一種普便的樸素貝葉斯方法，主要解決由每個連續(xù)值屬性設為高斯分布所產生的問題，正如上一節(jié)所提到的。在[3]文中，作者認為連續(xù)屬性值更多是以核密度估計而不是高斯估計。

樸素貝葉斯核密度估計分類算法（以下稱K-NBC）十分類似如NBC，除了在計算連續(xù)屬性的概率時：NBC是使用高斯密度函數來評估該屬性，而K-NBC正如它的名字所說得一樣，使用高斯核密度函數來評估屬性。它的標準核密度公式為

公式(4)

其中h=σ稱為核密度的帶寬，K=g（x,0,1），定義為非負函數。這樣公式（4）變形為公式（5）

公式(5)

在K-NBC中采用高斯核密度為數據分析，這是因為高斯密度有著更理想的曲線特點。圖1說明了實際數據的概率分布更接近高斯核密度曲線。

圖1兩種不同的概率密度對事務中數據的評估，其中黑線代表高斯密度，虛線為核估計密度并有兩個不同值的帶寬樸素貝葉斯算法在計算μc和σc時，只需要存儲觀測值xk的和以及他們的平方和，這對一個正態(tài)分布來說是已經足夠了。而核密度在訓練過程中需要存儲每一個連續(xù)屬性的值（在學習過程中，對名詞性屬性只需要存儲它在樣本中的頻率值，這一點和樸素貝葉斯算法一樣）。而為事例分類時，在計算連續(xù)值屬性的概率時，樸素貝葉斯算法只需要評估g一次，而核密度估計算法需要對每個c類中屬性X每一個觀察值進行n次評估，這就增加計算存儲空間和時間復雜度，表1中對比了兩種方法的時間復雜度和內存需求空間。

4實驗研究與結果分析

本節(jié)的目標是評價我們提出核密度評估分類算法對入侵審計數據分類的效果，主要從整體檢測率、檢測率和誤檢率上來分析。

表1在給定n條訓練事務和m個檢測屬性條件下，

NBC和K-NBC的算法復雜度

樸素貝葉斯核密度

時間空間時間空間

具有n條事務的訓練數據O(nm)O(m)O(nm)O(nm)

具有q條事務的測試數據O(qm)O(qnm)

4.1實驗建立

在實驗中，我們使用NBC與K-NBC進行比較。另觀察表1兩種算法的復雜度，可得知有效的減少檢測屬性，可以提高他們的運算速度，同時刪除不相關的檢測屬性還有可以提高分類效率，本文將在下一節(jié)詳細介紹對稱不確定方法[4]如何對入侵審計數據的預處理。我們也會在實驗中進行對比分析。

我們使用WEKA來進行本次實驗。采用KDDCUP99[5]中的數據作為入侵檢測分類器的訓練樣本集和測試樣本集，其中每個記錄由41個離散或連續(xù)的屬性(如：持續(xù)時間，協議類型等)來描述，并標有其所屬的類型(如：正常或具體的攻擊類型)。所有數據分類23類，在這里我們把這些類網絡行為分為5大類網絡行為（Normal、DOS、U2R、R2L、Probe）。

在實驗中，由于KDDCUP99有500多萬條記錄，為了處理的方便，我們均勻從kddcup.data.gz中按照五類網絡行為抽取了5萬條數據作為訓練樣本集，并把他們分成5組，每組數據為10000條，其中normal數據占據整組數據中的98.5%，這一點符合真實環(huán)境中正常數據遠遠大于入侵數據的比例。我們首

先檢測一組數據中只有同類的入侵的情況，共4組數據（DOS中的neptune，Proble中的Satan，U2R中的buffer_overflow，R2l中的guess_passwd），再檢測一組數據中有各種類型入侵數據的情況。待分類器得到良好的訓練后，再從KDD99數據中抽取5組數據作為測試樣本，分別代表Noraml-DOS，Normal-Probe，Normal-U2R，Normal-R2L，最后一組為混后型數據，每組數據為1萬條。

4.2數據的預處理

由于樸素貝葉斯有個假定，即假定所有待測屬性對給定類的影響獨立于其他屬性的值，然而現實中的數據不總是如此。因此，本文引入對稱不確定理論來對數據進行預處理，刪除數據中不相關的屬性。

對稱不確定理論是基于信息概念論，首先我們先了解一下信息理論念，屬性X的熵為：

公式(6)

給定一個觀察變量Y，變量X的熵為:

公式(7)

P(xi)是變量X所有值的先驗概率，P(xi|yi)是給定觀察值Y，X的后驗概率。這些隨著X熵的降低反映在條件Y下，X額外的信息，我們稱之為信息增益，

公式(8)

按照這個方法，如果IG(X|Y)＞IG(X|Y)，那么屬性Y比起屬性Z來，與屬性X相關性更強。

定理：對兩個隨機變量來說，它們之間的信息增益是對稱的。即

公式(9)

對測量屬性之間相關性的方法來說，對稱性是一種比較理想的特性。但是在計算有很多值的屬性的信息增益時，結果會出現偏差。而且為了確保他們之間可以比較，必須使這些值離散化，同樣也會引起偏差。因此我們引入對稱不確定性，

公式(10)

通過以下兩個步驟來選擇好的屬性：

①計算出所有被測屬性與class的SU值，并把它們按降序方式排列；

②根據設定的閾值刪除不相關的屬性。

最后決定一個最優(yōu)閾值δ，這里我們通過分析NBC和K-NBC計算結果來取值。

4.3實驗結果及分析

在試驗中，以記錄正確分類的百分比作為分類效率的評估標準，表2為兩種算法的分類效率。

表2對應相同入侵類型數據進行檢測的結果

數據集

算法DOS

(neptune)Proble

(satan)R2L

(guess_passwd)U2R

(buffer_overflow)

檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率

NBC99.50.299.7998.30.199.8497.30.899.2951.898.21

K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76

SU+NBC99.5099.9698.30.199.85980.799.2491.198.84

SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81

根據表2四組不同類別的入侵檢測結果，我們從以下三個方面分析：

（1）整體檢測率。K-NBC的整體檢測率要比NBC高，這是因為K-NBC在對normal這一類數據的檢測率要比NBC高，而normal這一類數據又占整個檢測數據集數的95%以上，這也說明了在上一節(jié)提到的normal類的數據分布曲線更加接近核密度曲線。

（2）檢測率。在對DOS和PROBLE這兩組數據檢測結果，兩個算法的檢測率都相同，這是因為這兩類入侵行為在實現入侵中占絕大部分，而且這一類數據更容易檢測，所以兩種算法的檢測效果比較接近；針對R2L檢測，從表2可以看到，在沒有進行數據預處理之前，兩者的的檢測率相同，但經過數據預處理后的兩個算法的檢測率都有了提高，而K-NBC的效率比NBC更好點；而對U2R的檢測結果，K-NBC就比NBC差一點，經過數據預處理后，K-NBC的檢測率有一定的提高，但還是比NBC的效果差一些。

（3）誤檢率。在DOS和Proble這兩種組數據的誤檢率相同，在其他兩組數據的中，K-NBC的誤檢率都比NBC的低。

根據表3的結果分析，我們也可以看到的檢測結果與表2的分組檢測的結果比較類似，并且從綜合角度來說，K-NBC檢測效果要比NBC的好。在這里，我們也發(fā)現，兩種算法對R2L和U2L這兩類入侵的檢測效果要比DOS和Proble這兩類入侵的差。這主要是因為這兩類入侵屬于入侵行為的稀有類，檢測難度也相應加大。在KDD99競賽中，冠軍方法對這兩類的檢測效果也是最差的。但我們可以看到NBC對這種稀有類的入侵行為檢測更為準確一點，這應該是稀有類的分布更接近正態(tài)分布。

從上述各方面綜合分析，我們可以證明K-NBC作為的入侵檢測分類算法的是有其優(yōu)越性的。

表3對混合入侵類型數據進行檢測的結果

數據集

算法整體檢測分類檢測

NormalDosProbleR2LU2R

檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率

NBC98.141.898.20.899.8099.8090086.71.8

K-NBC99.780.299.82.399.8099.8096073.30.1

SU+NBC97.992.0980.899.8099.8090086.71.9

SU+K-NBC99.790.299.81.999.8099.80960800.1

5結論

在本文中，我們用高斯核密度函數代替樸素貝葉斯中的高斯函數，建立K-NBC分類器，對入侵行為進行檢測，另我們使用對稱不確定方法來刪除檢測數據的中與類不相關的屬性，從而進一步改進核密度樸素貝葉斯的分類效率，實驗表明，對預處理后的審計數據，再結合K-NBC來檢測，可以達到更好的分類效果，具有很好的實用性。同時我們也注意到，由于入侵檢測的數據中的入侵行為一般為稀有類，特別是對R2L和U2R這兩類數據進行檢測時，NBC有著比較理想的結果，所以在下一步工作中，我們看是否能把NBC和K－NBC這兩種分類模型和優(yōu)點聯合起來，并利用對稱不確定理論來刪除檢測數據與類相關的屬性中的冗余屬性，進一步提高入侵檢測效率。

參考文獻

[1]Langley.P.，Iba，W.&Thompson，K.AnanalysisofBayesianclassifiers[A]，in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark，1992.223-228

[2]HanJ.，KamberM..數據挖掘概念與技術[M].孟小峰，等譯.北京：機械工業(yè)出版社.2005.196201

篇5

 

0 前言

隨著互聯網的飛速發(fā)展，信息網絡已經進入千家萬戶，各國都在加速信息化建設的進程，越來越多的電子業(yè)務正在網絡上開展，這加速了全球信息化的進程，促進了社會各個領域的發(fā)展，與此同時計算機網絡也受到越來越多的惡意攻擊[1]，例如網頁內容被篡改、消費者網上購物信用卡帳號和密碼被盜、大型網站被黑客攻擊無法提供正常服務等等。

入侵檢測作為傳統(tǒng)計算機安全機制的補充[2]，它的開發(fā)與應用擴大了網絡與系統(tǒng)安全的保護縱深，成為目前動態(tài)安全工具的主要研究和開發(fā)的方向。隨著系統(tǒng)漏洞不斷被發(fā)現，攻擊不斷發(fā)生，入侵檢測系統(tǒng)在整個安全系統(tǒng)中的地位不斷提高，所發(fā)揮的作用也越來越大。無論是從事網絡安全研究的學者，還是從事入侵檢測產品開發(fā)的企業(yè)，都越來越重視入侵檢測技術。

本文在校園網的環(huán)境下，提出了一種基于Snort的三層入侵檢測系統(tǒng)，詳細介紹了該系統(tǒng)的體系結構，各個模塊的具體功能以及如何實現，并最終將該系統(tǒng)應用于校園網絡中進行檢測網絡安全論文，確保校園網絡的安全。

1 Snort入侵檢測系統(tǒng)介紹

Snort[3]是一種基于網絡的輕量級入侵檢測系統(tǒng)，建立在數據包嗅探器上。它能實時分析網絡上的數據包，檢測來自網絡的攻擊。它能方便地安裝和配置在網絡的任何一節(jié)點上，而且不會對網絡運行產生太大的影響，同時它還具有跨系統(tǒng)平臺操作、最小的系統(tǒng)要求以及易于部署和配置等特征，并且管理員能夠利用它在短時間內通過修改配置進行實時的安全響應。它能夠實時分析數據流量和日志IP網絡數據包，能夠進行協議分析，對內容進行搜索/匹配。其次它還可以檢測各種不同的攻擊方式，對攻擊進行實時警報?？偟膩碚f，Snort具有如下的優(yōu)點：

（1）高效的檢測和模式匹配算法，使性能大大提升。

（2）良好的擴展性，它采用了插入式檢測引擎，可以作為標準的網絡入侵檢測系統(tǒng)、主機入侵檢測系統(tǒng)使用；與Netfilter結合使用，可以作為網關IDS(Gateway IDS，GIDS)；與NMAP等系統(tǒng)指紋識別工具結合使用，可以作為基于目標的TIDS(Target-basedIDS)。

（3）出色的協議分析能力，Snort能夠分析的協議有TCP,UDP和ICMP。將來的版本，將提供對ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協議的支持。它能夠檢測多種方式的攻擊和探測，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測，端口掃描等等中國期刊全文數據庫。

（4）支持多種格式的特征碼規(guī)則輸入方式，如數據庫、XML等。

Snort同時遵循GPL（公用許可License），任何組織或者個人都可以自由使用，這是商業(yè)入侵檢測軟件所不具備的優(yōu)點。基于以上的特點，本文采用了Snort作為系統(tǒng)設計的基礎，自主開發(fā)設計了三層結構的入侵檢測系統(tǒng)。

2 入侵檢測三層體系結構

Snort入侵檢測系統(tǒng)可采用單層或多層的體系結構，對于單層[4]的結構來說，它將入侵檢測的核心功能和日志信息混合放在同一層面上，這樣的系統(tǒng)設計與實現均比較簡單，但它的缺點是交互性比較差，擴展性不好，操作管理比較繁瑣，系統(tǒng)的升級維護比較復雜。為了設計一個具有靈活性、安全性和可擴展性的網絡入侵檢測系統(tǒng)，本文的系統(tǒng)采用了三層體系結構，主要包括網絡入侵檢測層、數據庫服務器層和日志分析控制臺層。系統(tǒng)的三層體系結構如圖4.1所示。

圖4.1 三層體系結構圖

（1）網絡入侵檢測層主要實現對網絡數據包的實時捕獲，監(jiān)控和對數據進行分析以找出可能存在的入侵。

（2）數據庫服務器層主要是從入侵檢測系統(tǒng)中收集報警數據，并將它存入到關系數據庫中網絡安全論文，以便用戶進行復雜的查詢，和更好地管理報警信息。

（3）日志分析控制臺層是數據顯示層，網絡管理員可通過瀏覽器本地的Web服務器，訪問關系數據庫中的數據，對報警日志信息進行查詢與管理，提供了很好的人機交互界面。

2.1 網絡入侵檢測層

網絡入侵檢測層是整個系統(tǒng)的核心所在，主要負責數據的采集、分析、判斷是否存在入侵行為，并通過Snort的輸出插件將數據送入數據庫服務器中。Snort沒有自己的數據采集工具，它需要外部的數據包捕獲程序庫winpcap[4]，因此本部分主要包括兩個組件：winpcap和Snort。winpcap是由伯克利分組捕獲庫派生而來的分組捕獲庫，它在Windows操作平臺上實現底層包的截取過濾，它提供了Win32應用程序提供訪問網絡底層的能力。通過安裝winpcap和Snort兩個開源軟件，搭建了一個基本的入侵檢測層，基本上完成了一個簡單的單層入侵檢測系統(tǒng)。

2.2 數據庫服務器模塊

數據庫服務器層主要是從入侵檢測系統(tǒng)中收集報警數據，并將它存入到關系數據庫中。除了將報警數據寫入關系數據庫，Snort還可以用其他方式記錄警報，如系統(tǒng)日志syslog[5]，統(tǒng)一格式輸出unified等。利用關系數據庫對數據量相當大的報警數據進行組織管理是最實用的方法。報警存入關系數據庫后能對其進行分類，查詢和按優(yōu)先級組織排序等。在本系統(tǒng)中我們采用MySQL數據庫。MySQL是一個快速的客戶機/服務器結構的SQL數據庫管理系統(tǒng)，功能強大、靈活性好、應用編程接口豐富并且系統(tǒng)結構精巧。MySQL數據庫采用默認方式安裝后，設置MySQL為服務方式運行。然后啟動MySQL服務，進入命令行狀態(tài)，創(chuàng)建Snort運行必需的存放系統(tǒng)日志的Snort庫和Snort_archive庫。同時使用Snort目錄下的create_mysql腳本建立Snort運行所需的數據表，用來存放系統(tǒng)日志和報警信息，數據庫服務器模塊就可以使用了。

2.3 日志分析控制臺

日志分析控制臺用來分析和處理Snort收集的入侵數據，以友好、便于查詢的方式顯示日志數據庫發(fā)送過來的報警信息，并可按照不同的方式對信息進行分類統(tǒng)計，將結果顯示給用戶。本文所設計的警報日志分析系統(tǒng)采用上面所述的中心管理控制平臺模式，在保護目標網絡中構建一個中心管理控制平臺，并與網絡中架設的Snort入侵檢測系統(tǒng)及MySQL數據庫通信，達到以下一些目的：

(1)能夠適應較大規(guī)模的網絡環(huán)境；

(2)簡化規(guī)則配置模式，便于用戶遠程修改Snort入侵檢測系統(tǒng)的檢測規(guī)則；

(3)降低警報數據量，通過多次數據分類分析，找出危害重大的攻擊行為；

(4)減少Snort的警報數據在MySQL數據庫中的存儲量，降低運行系統(tǒng)的負擔；

(5)將分析后的警報數據制成報表形式輸出，降低對于管理員的要求。

為了完成以上所述的目的，提高Snort入侵檢測系統(tǒng)的使用效率，本子系統(tǒng)主要分為以下三個模塊：規(guī)則配置模塊網絡安全論文，數據分析模塊，報表模塊。本子系統(tǒng)框架如圖4.4所示：

圖4.4 Snort警報日志系統(tǒng)框架

（1）規(guī)則配置模塊：起到簡化用戶配置Snort檢測規(guī)則的作用。此模塊主要與Snort運行主機系統(tǒng)上的一個守護程序通信，修改Snort的配置文件――Snort.conf，從而完成改變檢測規(guī)則的目。中心控制管理平臺在本地系統(tǒng)上備份snort.conf文件以及所有規(guī)則文件，當需要修改某個Snort入侵檢測系統(tǒng)的規(guī)則配置時，就可以通過平臺接口首先修改本地對應的snort.conf文件以及所有規(guī)則文件，然后通過與Snort運行系統(tǒng)中守護程序通信，將本地系統(tǒng)上修改后的snort.conf文件以及所有規(guī)則文件傳輸到Snort運行系統(tǒng)中并且覆蓋掉運行系統(tǒng)中的原配置文件和原規(guī)則文件集，然后重新啟動Snort，達到重新配置Snort檢測規(guī)則的目的。

（2）數據分析模塊：主要利用改進的Apriori算法對數據庫的日志進行分析，通過關聯規(guī)則挖掘，生成一些新的檢測規(guī)則用來改進snort本身的檢測規(guī)則，分析警報數據，降低輸出的警報數據量，集中顯示危害較為嚴重的入侵行為。數據分析模塊是整個中心管理控制中心的核心模塊。本模塊通過挖掘保存在Mysql數據庫中Snort異常日志數據來發(fā)現這些入侵數據之間的關聯關系，通過發(fā)現入侵數據的強關聯規(guī)則來發(fā)現新的未知入侵行為，建立新的Snort檢測規(guī)則，進一步優(yōu)化Snort系統(tǒng)的規(guī)則鏈表中國期刊全文數據庫。具體的步驟如下：

先對Snort異常日志進行數據預處理。數據預處理中先計算出每個網絡特征屬性的信息增益值，然后取出前面11個重要的網絡特征，把原來要分析的多個網絡特征減少到11個重要的網絡特征，這樣就大大減小了整個算法的復雜度，也有利提高檢測速度。歷史日志經過預處理之后，我們就可以采用改進的Apriori算法求出所有頻繁項集。在產生頻繁項集之前，我們需要設定最小支持度，最小支持度設置得越低，產生的頻繁項集就會越多，反之就會越少。通常，最小支持度的設定有賴于領域專家的分析和實驗數據分析兩種手段。經過反復實驗，最終采用模擬仿真的攻擊數據進行規(guī)則推導，設定最小支持度10%、可信度80%。訓練結束時頭100條質量最好的規(guī)則作為最終的檢測規(guī)則。把關聯規(guī)則中與Snort規(guī)則頭相關的項放在一起充當規(guī)則頭，與Snort規(guī)則選項相關的項放在一起充當規(guī)則選項，然后把規(guī)則頭與規(guī)則選項合并在一起形成Snort入侵檢測規(guī)則。

（3）報表模塊：將分析后的數據庫中的警報數據制成報表輸出，降低對于管理員的要求。報表模塊是為了簡化管理員觀察數據，美觀輸出而創(chuàng)建，通過.net的報表編寫完成。報表是高彈性的報表設計器，用于報表的數據可以從任何類型的數據源獲取，包含字符列表，BDE數據庫網絡安全論文，ADO數據源（不使用BDE），Interbase（使用IBO），Pascal數組和記錄，以及一些不常用的數據源。

該系統(tǒng)采用Microsoft Visual Studio 2008進行開發(fā)，語言采用C#。具體如下圖：

圖4.5 日志分析控制臺

 

3 系統(tǒng)實際運行效果

集美大學誠毅學院作為一個獨立學院，為了更好的滿足學院師生對信息資源的需求，部署了自己的web服務器，ftp服務器，英語網絡自主學習等教學平臺，有了豐富的網絡信息資源。學院隨著網絡應用的不斷展開，使用者越來越多，網絡安全狀況也出現很多問題，比如學院的web服務器曾經出現掛馬事件，ftp服務器被入侵等事件也相繼出現。為了解決該問題，部署屬于自己的網絡入侵檢測系統(tǒng)，用來檢測入侵事件，提高校園網絡的安全情況就成為必須要解決的問題。該系統(tǒng)目前已經在集美大學誠毅學院使用，檢測效果很好，有效的防范了網絡安全事件的發(fā)生，能夠及時對攻擊事件進行檢測，從而采取相對應的防范措施。

[參考文獻]

[1]RobFliCkenger.LinnxServerHaeks.北京:清華大學出版社，2004.5, 132-135

[2]蔣建春，馮登國.網絡入侵監(jiān)測原理與技術.北京:國防工業(yè)出版社，2001.

[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.

[4]Jack Koziol著.吳溥峰，孫默，許誠等譯.Snort入侵檢測實用解決方案.北京:機械工業(yè)出版社.2005.

篇6

在網絡技術日新月異的今天，寫作論文基于網絡的計算機應用已經成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統(tǒng)、網絡系統(tǒng)以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1防火墻

目前防范網絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問，通過監(jiān)視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內部的襲擊。調查發(fā)現，50％的攻擊都將來自于網絡內部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。寫作畢業(yè)論文而這一點，對于層出不窮的網絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要，網絡的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的監(jiān)測，幫助系統(tǒng)對付網絡攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護。現在，入侵檢測已經成為網絡安全中一個重要的研究方向，在各種不同的網絡環(huán)境中發(fā)揮重要作用。

2入侵檢測

2．1入侵檢測

入侵檢測是通過從計算機網絡系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數據丟失之前，識別并驅除入侵者，使系統(tǒng)迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今，寫作英語論文已經開發(fā)出一些入侵檢測的產品，其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2檢測技術

入侵檢測為網絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制；攻擊行為檢測注重于發(fā)現信息系統(tǒng)中可能已經通過身份檢查的形跡可疑者，進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下：

收集系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為的信息

入侵檢測一般采用分布式結構，在計算機網絡系統(tǒng)中的若干不同關鍵點(不同網段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統(tǒng)和網絡日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據收集到的信息進行分析

常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數據庫進行比較，從而發(fā)現違背安全策略的行為。

統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。寫作工作總結根據不同的檢測方法，將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。

3．1異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。

(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計算量很大，對系統(tǒng)的處理性能要求很高。

3．2誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，寫作留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發(fā)生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。

誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統(tǒng)的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有預警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發(fā)現違背安全策略的行為。由于只需要收集相關的數據，這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng)，其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3．2．1不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取，對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3．2．2與系統(tǒng)的相關性很強

對于不同實現機制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫。另外，誤用檢測技術也難以檢測出內部人員的入侵行為。

目前，由于誤用檢測技術比較成熟，多數的商業(yè)產品都主要是基于誤用檢測模型的。不過，為了增強檢測功能，不少產品也加入了異常檢測的方法。

4入侵檢測的發(fā)展方向

隨著信息系統(tǒng)對一個國家的社會生產與國民經濟的影響越來越大，再加上網絡攻擊者的攻擊工具與手法日趨復雜化，信息戰(zhàn)已逐步被各個國家重視。近年來，入侵檢測有如下幾個主要發(fā)展方向：

4．1分布式入侵檢測與通用入侵檢測架構

傳統(tǒng)的IDS一般局限于單一的主機或網絡架構，對異構系統(tǒng)及大規(guī)模的網絡的監(jiān)測明顯不足，再加上不同的IDS系統(tǒng)之間不能很好地協同工作。為解決這一問題，需要采用分布式入侵檢測技術與通用入侵檢測架構。

4．2應用層入侵檢測

許多入侵的語義只有在應用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協議，而不能處理LotusNotes、數據庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶／服務器結構、中間件技術及對象技術的大型應用，也需要應用層的入侵檢測保護。

4．3智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究，以解決其自學習與自適應能力。

4．4入侵檢測的評測方法

用戶需對眾多的IDS系統(tǒng)進行評價，評價指標包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性，從而設計出通用的入侵檢測測試與評估方法與平臺，實現對多種IDS的檢測。

4．5全面的安全防御方案

結合安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，使網絡系統(tǒng)在受到危害之前即攔截和響應入侵行為，為網絡安全增加一道屏障。隨著入侵檢測的研究與開發(fā)，并在實際應用中與其它網絡管理軟件相結合，使網絡安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測、網絡管理、網絡監(jiān)控三位一體化，從而更加有效地保護網絡的安全。

參考文獻

l吳新民．兩種典型的入侵檢測方法研究．計算機工程與應用，2002；38(10)：181—183

2羅妍，李仲麟，陳憲．入侵檢測系統(tǒng)模型的比較．計算機應用，2001；21(6)：29～31

3李渙洲．網絡安全與入侵檢測技術．四川師范大學學報．2001；24(3)：426—428

篇7

1 校園網絡安全現狀

隨著網絡應用的普及，電子商務！電子銀行和電子政務等網絡服務的大力發(fā)展，網絡在人們日常生活中的應用越來越多重要性越來越大，網絡攻擊也越來越嚴重。有一些人專門利用他們掌握的信息技術知識從事破壞活動，入侵他人計算機系統(tǒng)竊取！修改和破壞重要信息，給社會造成了巨大的損。隨著攻擊手段的變化，傳統(tǒng)的以身份驗證、加密、防火墻為主的靜態(tài)安全防護體系已經越來越難以適應日益變化的網絡環(huán)境，尤其是授權用戶的濫用權利行為，幾乎只有審計才能發(fā)現園網是國內最大的網絡實體，如何保證校園網絡系統(tǒng)的安全，是擺在我們面前的最重要問題。

因此，校園網對入侵檢測系統(tǒng)也有著特別的需求校園網的特點是在線用戶比率高、上網時間長、用戶流量大、對服務器訪問量大，這種情況下，校園網絡面臨著許多安全方面的威脅：

（1）黑客攻擊，特別是假冒源地址的拒絕服務攻擊屢有發(fā)生攻擊者通過一些簡單的攻擊工具，就可以制造危害嚴重的網絡洪流，耗盡網絡資源或使主機系統(tǒng)資源遭到攻擊同時，攻擊者常常借助偽造源地址的方法，使網絡管理員對這種攻擊無可奈何。

（2）病毒和蠕蟲，在高速大容量的局域網絡中，各種病毒和蠕蟲，不論新舊都很容易通過有漏洞的系統(tǒng)迅速傳播擴散"其中，特別是新出現的網絡蠕蟲，常?？梢栽诒l(fā)初期的幾個小時內就閃電般席卷全校，造成網絡阻塞甚至癱瘓。

（3）濫用網絡資源，在校園網中總會出現濫用帶寬等資源以致影響其他用戶甚至整個網絡正常使用的行為如各種掃描、廣播、訪問量過大的視頻下載服務等等。入侵檢測系統(tǒng)（IntrusionDeteetionSystem，IDS）的出現使得我們可以主動實時地全面防范網絡攻擊N工DS指從網絡系統(tǒng)的若干節(jié)點中搜集信息并進行分析，從而發(fā)現網絡系統(tǒng)中是否有違反安全策略的行為，并做出適當的響應"它既能檢測出非授權使用計算機的用戶，也能檢測出授權用戶的濫用行為。

IDS按照功能大致可劃分為主機入侵檢測（HostIDS，HIDS）網絡入侵檢測（NetworkIDS，NIDS）分布式入侵檢測（DistributedIDS，DIDS）其中，網絡入侵檢測的特點是成本低，實時地檢測和分析，而且可以檢測到未成功的攻擊企圖"從分析方法的角度可分為異常檢測（Anomaly DeteCtion）和誤用檢測（MISuseDeteCtion）其中誤用檢測是指定義一系列規(guī)則，符合規(guī)則的被認為是入侵其優(yōu)點是誤報率低、開銷小、效率高Snort作為IDS的經典代表，是基于網絡和誤用檢測的入侵檢測系統(tǒng)入侵檢測技術自20世紀80年代早起提出以來，在早期的入侵檢測系統(tǒng)中，大多數是基于主機的，但是在過去的10年間基于網絡的入侵檢測系統(tǒng)占有主要地位，現在和未來的發(fā)展主流將是混合型和分布式形式的入侵檢測系統(tǒng)。

2 入侵檢測研究現狀

國外機構早在20世紀80年代就開展了相關基礎理論研究工作。經過20多年的不斷發(fā)展，從最初的一種有價值的研究想法和單純的理論模型，迅速發(fā)展出種類繁多的各種實際原型系統(tǒng)，并且在近10年內涌現出許多商用入侵檢測系統(tǒng)，成為計算機安全防護領域內不可缺少的一種安全防護技術。Anderson在1980年的報告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必須改變現有的系統(tǒng)審計機制，以便為專職系統(tǒng)安全人員提供安全信息，此文被認為是有關入侵檢測的最早論述；1984一1986年，Dorothy E.Denning和Peter G.Neumann聯合開發(fā)了一個實時IDES（Intrusion DeteCtion Expert System），IDES采用統(tǒng)計分析，異常檢測和專家系統(tǒng)的混合結構，Delming1986年的論文“An Intrusion Deteetion Modelo”，被公認為是入侵檢測領域的另一開山之作"。1987年，Dorothy Denning發(fā)表的經典論文AnIntursion Deteetion Modelo中提出了入侵檢測的基本模型，并提出了幾種可用于入侵檢測的統(tǒng)計分析模型。Dnening的論文正式啟動了入侵檢測領域的研究工作，在發(fā)展的早期階段，入侵檢測還僅僅是個有趣的研究領域，還沒有獲得計算機用戶的足夠注意，因為，當時的流行做法是將計算機安全的大部分預算投入到預防性的措施上，如：加密、身份驗證和訪問控制等方面，而將檢測和響應等排斥在外。到了1996年后，才逐步出現了大量的商用入侵檢測系統(tǒng)。從20世紀90年代到現在，入侵檢測系統(tǒng)的研發(fā)呈現出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。其中一種主要的異常檢測技術是神經網絡技術，此外，如基于貝葉斯網絡的異常檢測方法，基于模式預測的異常檢測方法，基于數據挖掘的異常檢測方法以及基于計算機免疫學的檢測方法也相繼出現，對于誤用入侵檢測也有多種檢測方法，如專家系統(tǒng)（expert system），特征分析（Signature analysis），狀態(tài)轉移分析（State transition analysis）等.

入侵檢測系統(tǒng)的典型代表是ISSInc（國際互聯網安全系統(tǒng)公司）Rea1Secure產品。較為著名的商用入侵檢測產品還有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前的最高水平。隨著計算機系統(tǒng)軟、硬件的飛速發(fā)展，以及網絡技術、分布式計算！系統(tǒng)工程！人工智能等計算機新興技術與理論的不斷發(fā)展與完善，入侵檢測理論本身也處于發(fā)展變化中，但還未形成一個比較完整的理論體系。

在國內，隨著上網的關鍵部門、關鍵業(yè)務越來越多，更需要具有自主版權的入侵檢測產品。我國在這方面的研究相對晚，國內的該類產品較少，但發(fā)展較快，己有總參北方所、中科網威、啟明星辰，H3C等公司推出產品。至今日入侵檢測技術仍然改變了以往被動防御的特點，使網絡管理員能夠主動地實時跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時的響應，尤其在抵御網絡內部人員的破壞時更有獨到的特點，因而成為了防火墻之后的又一道安全防線。

隨著互聯網的進一步普及和深入，入侵檢測技術有著更廣泛的發(fā)展前途和實際價值。盡管問題尚存，但希望更大，相信目前正在研究的大規(guī)模分布式入侵檢測系統(tǒng)、基于多傳感器的數據融合、基于計算機免疫技術、基于神經網絡及基于遺傳算法等的新一代入侵檢測系統(tǒng)一定能夠解決目前面臨到種種問題，更好地完成抵御入侵的任務。

3 未來和展望

隨著網絡規(guī)模和復雜程度的不斷增長，如何在校園網多校區(qū)乃至異構網絡環(huán)境下收集和處理分布在網絡各處的不同格式信息！如何進行管理域間的合作以及保證在局部入侵檢測失效的情況下維持系統(tǒng)整體安全等"同時，伴隨著大量諸如高速/超高速接入手段的出現，如何實現高速/超高速網絡下的實時入侵檢測。降低丟包率也成為一個現實的問題，面對G級的網絡數據流量，傳統(tǒng)的軟件結構和算法都需要重新設計；開發(fā)和設計適當的專用硬件也成為研究方向之一"時至今日，入侵檢測系統(tǒng)的評估測試方面仍然不成熟，如何對入侵檢測系統(tǒng)進行評估是一個重要而敏感的話題。

參考文獻

篇8

近年來，隨著信息和網絡技術的高速發(fā)展以及政治、經濟或者軍事利益的驅動，計算機和網絡基礎設施，非凡是各種官方機構的網站，成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求，更加激化了這種入侵事件的增長趨向。由于防火墻只防外不防內，并且很輕易被繞過，所以僅僅依靠防火墻的計算機系統(tǒng)已經不能對付日益猖獗的入侵行為，對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。

1 入侵檢測系統(tǒng)(IDS)概念

1980年，James P.Anderson 第一次系統(tǒng)闡述了入侵檢測的概念，并將入侵行為分為外部滲透、內部滲透和不法行為三種，還提出了利用審計數據監(jiān)視入侵活動的思想[1。即其之后,1986年Dorothy E.Denning提出實時異常檢測的概念[2并建立了第一個實時入侵檢測模型，命名為入侵檢測專家系統(tǒng)(IDES)，1990年，L.T.Heberlein等設計出監(jiān)視網絡數據流的入侵檢測系統(tǒng)，NSM(Network Security Monitor)。自此之后，入侵檢測系統(tǒng)才真正發(fā)展起來。

Anderson將入侵嘗試或威脅定義為摘要：潛在的、有預謀的、未經授權的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4摘要：發(fā)現非授權使用計算機的個體(如“黑客”)或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為摘要：檢測企圖破壞計算機資源的完整性，真實性和可用性的行為的軟件。

入侵檢測系統(tǒng)執(zhí)行的主要任務包括[3摘要：監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構造和弱點;識別、反映已知進攻的活動模式，向相關人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數據文件的完整性;審計、跟蹤管理操作系統(tǒng)，識別用戶違反平安策略的行為。入侵檢測一般分為三個步驟摘要：信息收集、數據分析、響應。

入侵檢測的目的摘要：(1)識別入侵者;(2)識別入侵行為;(3)檢測和監(jiān)視以實施的入侵行為;(4)為對抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴大;

2 入侵檢測系統(tǒng)模型

美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2，該模型的檢測方法就是建立用戶正常行為的描述模型，并以此同當前用戶活動的審計記錄進行比較，假如有較大偏差，則表示有異?；顒影l(fā)生。這是一種基于統(tǒng)計的檢測方法。隨著技術的發(fā)展，后來人們又提出了基于規(guī)則的檢測方法。結合這兩種方法的優(yōu)點，人們設計出很多入侵檢測的模型。通用入侵檢測構架(Common Intrusion Detection Framework簡稱CIDF)組織，試圖將現有的入侵檢測系統(tǒng)標準化，CIDF闡述了一個入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個入侵檢測系統(tǒng)分為以下四個組件摘要：

事件產生器(Event Generators)

事件分析器(Event analyzers)

響應單元(Response units)

事件數據庫(Event databases)

它將需要分析的數據通稱為事件，事件可以是基于網絡的數據包也可以是基于主機的系統(tǒng)日志中的信息。事件產生器的目的是從整個計算機環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產生分析結果。響應單元則是對分析結果做出反應的功能單元，它可以做出切斷連接、修改文件屬性等強烈反應。事件數據庫是存放各種中間和最終數據的地方的通稱，它可以是復雜的數據庫也可以是簡單的文本文件。

3 入侵檢測系統(tǒng)的分類摘要：

現有的IDS的分類，大都基于信息源和分析方法。為了體現對IDS從布局、采集、分析、響應等各個層次及系統(tǒng)性探究方面的新問題，在這里采用五類標準摘要：控制策略、同步技術、信息源、分析方法、響應方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個中心節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中，監(jiān)控和探測是由本地的一個控制點控制，層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中，監(jiān)控和探測是使用一種叫“”的方法，進行分析并做出響應決策。

按照同步技術分類

同步技術是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分，IDS劃分為間隔批任務處理型IDS和實時連續(xù)性IDS。在間隔批任務處理型IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時間段內產生的信息，并在入侵發(fā)生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且馬上得到處理和反映。實時IDS是基于網絡IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法，它分為基于主機的IDS、基于網絡的IDS和分布式IDS。基于主機的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊?；谥鳈C的IDS是在關鍵的網段或交換部位通過捕捉并分析網絡數據包來檢測攻擊。分布式IDS，能夠同時分析來自主機系統(tǒng)日志和網絡數據流，系統(tǒng)由多個部件組成，采用分布式結構。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數據庫，當收集到的信息和庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚谕南到y(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數據庫，由于庫的有限性使得虛警率比較高。

按照響應方式分類

按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時，主動IDS會采用以下三種響應摘要：收集輔助信息;改變環(huán)境以堵住導致入侵發(fā)生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法，因為行為有點過激)。被動響應IDS則是將信息提供給系統(tǒng)用戶，依靠管理員在這一信息的基礎上采取進一步的行動。

4 IDS的評價標準

目前的入侵檢測技術發(fā)展迅速，應用的技術也很廣泛，如何來評價IDS的優(yōu)缺點就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5摘要：(1)準確性。準確性是指IDS不會標記環(huán)境中的一個合法行為為異?；蛉肭?。(2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說，必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(fault tolerance)。當被保護系統(tǒng)遭到攻擊和毀壞時，能迅速恢復系統(tǒng)原有的數據和功能。(5)自身反抗攻擊能力。這一點很重要，尤其是“拒絕服務”攻擊。因為多數對目標系統(tǒng)的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS，再實施對系統(tǒng)的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執(zhí)行和傳送它的分析結果，以便在系統(tǒng)造成嚴重危害之前能及時做出反應，阻止攻擊者破壞審計數據或IDS本身。

除了上述幾個主要方面，還應該考慮以下幾個方面摘要：(1)IDS運行時，額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。

5 IDS的發(fā)展趨

隨著入侵檢測技術的發(fā)展，成型的產品已陸續(xù)應用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯網平安系統(tǒng)公司)公司的RealSecure。目前較為聞名的商用入侵檢測產品還有摘要：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內的該類產品較少，但發(fā)展很快，已有總參北方所、中科網威、啟明星辰等公司推出產品。

人們在完善原有技術的基礎上，又在探究新的檢測方法，如數據融合技術，主動的自主方法，智能技術以及免疫學原理的應用等。其主要的發(fā)展方向可概括為摘要：

(1)大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術一般只局限于單一的主機或網絡框架，顯然不能適應大規(guī)模網絡的監(jiān)測，不同的入侵檢測系統(tǒng)之間也不能協同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測技術。

(2)寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現，各種寬帶接入手段層出不窮，如何實現高速網絡下的實時入侵檢測成為一個現實的新問題。

(3)入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先，目前的技術還不能對付練習有素的黑客的復雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對大量的數據處理，非但無助于解決新問題，還降低了處理能力。數據融合技術是解決這一系列新問題的好方法。

(4)和網絡平安技術相結合。結合防火墻，病毒防護以及電子商務技術，提供完整的網絡平安保障。

6 結束語

在目前的計算機平安狀態(tài)下，基于防火墻、加密技術的平安防護固然重要，但是，要根本改善系統(tǒng)的平安目前狀況，必須要發(fā)展入侵檢測技術，它已經成為計算機平安策略中的核心技術之一。IDS作為一種主動的平安防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護。隨著網絡通信技術平安性的要求越來越高，入侵檢測技術必將受到人們的高度重視。

參考文獻摘要：

[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4

[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131

[3 張杰，戴英俠，入侵檢測系統(tǒng)技術目前狀況及其發(fā)展趨向[J，計算機和通信，2002.6摘要：28-32

篇9

中圖分類號:TN915.08 文獻標識碼:A文章編號:1007-9599 (2010) 04-0000-02

Application of Intrusion&Deceit Technique in Network Security

Chen Yongxiang Li Junya

(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)

Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.

Key words:Intrusion and deceit technology;Honeypot;Network Security

近年來計算機網絡發(fā)展異常迅猛,各行各業(yè)對網絡的依賴已越發(fā)嚴重。這一方面提高了信息的高速流動,但另一方面卻帶來了極大的隱患。由于網絡的開放性、計算機系統(tǒng)設計的非安全性導致網絡受到大量的攻擊。如何提高網絡的自我防護能力是目前研究的一個熱點。論文通過引入入侵誘騙技術,設計了一個高效的網絡防護系統(tǒng)。

一、入侵誘騙技術簡介

通過多年的研究表明,網絡安全存在的最大問題就是目前采用的被動防護方式,該方式只能被動的應對攻擊,缺乏主動防護的功能。為應對這一問題,就提出了入侵誘騙技術。該技術是對被動防護的擴展,通過積極的進行入侵檢測,并實時的將可疑目標引向自身,導致攻擊失效,從而有效的保護目標。

上個世紀80年代末期由stoll首先提出該思想,到上世紀90年代初期由Bill Cheswish進一步豐富了該思想。他通過在空閑的端口上設置一些用于吸引入侵者的偽造服務來獲取入侵者的信息,從而研究入侵者的規(guī)律。到1996年Fred Cohen 提出將防火墻技術應用于入侵誘騙技術中,實現消除入侵資源。為進一步吸引入侵目標,在研究中提出了引誘其攻擊自身的特殊目標“Honeypot”。研究者通過對Honeypot中目標的觀察,可清晰的了解入侵的方法以及自身系統(tǒng)的漏洞,從而提升系統(tǒng)的安全防護水平。

二、Honeypot的研究

在這個入侵誘騙技術中,Honeypot的設計是關鍵。按交互級別,可對Honeypot進行分類:低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于簡單的設計和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護的。在該系統(tǒng)中,由于沒有真正的操作系統(tǒng)可供攻擊者遠程登錄,操作系統(tǒng)所帶來的復雜性被削弱了,所以它所帶來的風險是最小的。但也讓我們無法觀察一個攻擊者與系統(tǒng)交互信息的整個過程。它主要用于檢測。通過中交互度Honeypot可以獲得更多有用的信息,同時能做出響應,是仍然沒有為攻擊者提供一個可使用的操作系統(tǒng)。部署和維護中交互度的Honeypot是一個更為復雜的過程。高交互度Honeypot的主要特點是提供了一個真實的操作系統(tǒng)。該系統(tǒng)能夠收集更多的信息、吸引更多的入侵行為。

當然Honeypot也存在著一些缺點:需要較多的時間和精力投入。Honeypot技術只能對針對其攻擊行為進行監(jiān)視和分析,其視野較為有限,不像入俊檢側系統(tǒng)能夠通過旁路偵聽等技術對整個網絡進行監(jiān)控。Honeypot技術不能直接防護有漏洞的信息系統(tǒng)。部署Honeypot會帶來一定的安全風險。

構建一個有用的Honeypot是一個十分復雜的過程,主要涉及到Honeypot的偽裝、采集信息、風險控制、數據分析。其中,Honeypot的偽裝就是將一個Honeypot通過一定的措施構造成一個十分逼真的環(huán)境,以吸引入侵者。但Honeypot偽裝的難度是既不能暴露太多的信息又不能讓入侵者產生懷疑。最初采用的是偽造服務,目前主要采用通過修改的真實系統(tǒng)來充當。Honeypot的主要功能之一就是獲取入侵者的信息,通常是采用網絡sniffer或IDS來記錄網絡包從而達到記錄信息的目的。雖然Honeypot可以獲取入侵者的信息,并能有效的防護目標,但Honeypot也給系統(tǒng)帶來了隱患,如何控制這些潛在的風險十分關鍵。Honeypot的最后一個過程就是對采用數據的分析。通過分析就能獲得需要的相關入侵者規(guī)律的信息。

對于設計Honeypot,主要有三個步驟:首先,必須確定自己Honeypot的目標。因為Honeypot并不能完全代替?zhèn)鹘y(tǒng)的網絡安全機制,它只是網絡安全的補充,所以必須根據自己的目標定位Honeypot。通常Honeypot可定位于阻止入侵、檢測入侵等多個方面。其次,必須確定自己Honeypot的設計原則。在這里不僅要確定Honeypot的級別還有確定平臺的選擇。目前,對用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統(tǒng)。其原因主要是Linux的開源、廣泛應用和卓越的性能。最后,就是對選定環(huán)境的安裝和配置。

三、Honeypot在網絡中的應用

為更清晰的研究Honeypot,將Honeypot應用于具體的網絡中。在我們的研究中,選擇了一個小規(guī)模的網絡來實現。當設計完整個網絡結構后,我們在網絡出口部分配置了設計的Honeypot。在硬件方面增加了安裝了snort的入侵檢測系統(tǒng)、安裝了Sebek的數據捕獲端。并且都構建在Vmware上實現虛擬Honeypot。在實現中,主要安裝并配置了Honeyd、snort和sebek.其Honeypot的結構圖,見圖1。

圖1 Honeypot結構圖

四、小結

論文從入侵誘騙技術入手系統(tǒng)的分析了該技術的發(fā)展歷程,然后對入侵誘騙技術中的Honeypot進行了深入的研究,主要涉及到Honeypot的分類、設計原則、設計方法,最后,將一個簡易的Honeypot應用于具體的網絡環(huán)境中,并通過嚴格的測試,表明該系統(tǒng)是有效的。

參考文獻

[1]蔡芝蔚.基于Honeypot的入侵誘騙系統(tǒng)研究[M].網絡通訊與安全,1244～1245

[2]楊奕.基于入侵誘騙技術的網絡安全研究與實現.[J].計算機應用學報,2004.3:230～232.

[3]周光宇,王果平.基于入侵誘騙技術的網絡安全系統(tǒng)的研究[J].微計算機信息,2007.9

[4]夏磊,蔣建中,高志昊.入侵誘騙、入侵檢測、入侵響應三位一體的網絡安全新機制

[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992

篇10

隨著計算機信息技術的發(fā)展，使網絡成為全球信息傳遞和交互的主要途徑，改變著人們的生產和生活方式。網絡信息已經成為社會發(fā)展的重要組成部分，對政治、經濟、軍事、文化、教育等諸多領域產生了巨大的影響。事實上，網絡安全已經成為關系國家主權和國家安全、經濟繁榮和社會穩(wěn)定、文化傳承和教育進步的重大問題，因此，我們在利用網絡信息資源的同時，必須加強網絡信息安全技術的研究和開發(fā)。

1網絡安全的概念

運用網絡的目的是為了利用網絡的物理或邏輯的環(huán)境，實現各類信息的共享，計算機網絡需要保護傳輸中的敏感信息，需要區(qū)分信息的合法用戶和非法用戶。在使用網絡的同時，有的人可能無意地非法訪問并修改了某些敏感信息，致使網絡服務中斷，有的人出于各種目的有意地竊取機密信息，破壞網絡的正常運作。所有這些都是對網絡的威脅。因此，網絡安全從其本質上來講就是網絡的信息安全，主要研究計算機網絡的安全技術和安全機制，以確保網絡免受各種威脅和攻擊，做到正常而有序地工作。

2網絡安全的分析

確保網絡安全應從以下四個方面著手:

①運行系統(tǒng)的安全。硬件系統(tǒng)的可靠安全運行，計算機操作系統(tǒng)和應用軟件的安全，數據庫系統(tǒng)的安全，側重于保證系統(tǒng)正常地運行，其本質是保護系統(tǒng)的合法操作和正常運行。②網絡上系統(tǒng)信息的安全。即確保用戶口令鑒別、用戶存取權限控制，數據存取權限、數據加密、計算機病毒防治等方面的安全。③網絡上信息傳播的安全。信息傳播后的安全，包括信息過濾等。其側重于防止和控制非法、有害的信息傳播產生的后果，避免網絡上傳輸的信息失控。④網絡上信息內容的安全。即保護信息的保密性、真實性和完整性。保護用戶的利益和隱私。

3網絡安全的攻略

網絡的任何一部分都存在安全隱患，針對每一個安全隱患需要采取具體的措施加以防范。目前常用的安全技術有包過濾技術、加密技術、防火墻技術、入侵檢測技術等。下面分別介紹:

①包過濾技術。它可以阻止某些主機隨意訪問另外一些主機。包過濾功能通常在路由器中實現，具有包過濾功能的路由器叫包過濾路由器。網絡管理員可以配置包過濾路由器，來控制哪些包可以通過，哪些包不可以通過。

②加密技術。凡是用特種符號按照通信雙方約定的方法把數據的原形隱藏起來，不為第三者所識別的通信方式稱為密碼通信。在計算機通信中，采用密碼技術將信息隱蔽起來，再將隱蔽后的信息傳播出去，是信息在傳輸過程中即使被竊取或截獲，竊取者也不能了解信息的內容，從而保證信息傳輸的安全。

③防火墻技術。防火墻將網絡分為內部和外部網絡，內部網絡是安全的和可信賴的，而外部網絡則是不太安全。它是一種計算機硬件和軟件的結合，對內部網絡和外部網絡之間的數據流量進行分析、檢測、管理和控制，從而保護內部網絡免受外部非法用戶的侵入。

④入侵檢測技術。通過對計算機網絡和主機系統(tǒng)中的關鍵信息進行實時采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并作出適當反應的網絡安全技術。

根據入侵檢測系統(tǒng)的技術與原理的不同，可以分為異常入侵檢測、誤用入侵檢測和特征檢測三種。

異常入侵檢測技術。收集一段時間內合法用戶行為的相關數據，然后使用統(tǒng)計方法來考察用戶行為，來斷定這些行為是否符合合法用戶的行為特征。如果能檢測所有的異?；顒?，就能檢測所有的入侵性活動。

誤用入侵檢測技術。假設具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。它是通過按照預先定義好的入侵模式以及觀察到入侵發(fā)生情況進行模式匹配來檢測。

特征檢測。此方法關注的是系統(tǒng)本身的行為，定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓進行比較，對未指明為正常行為的事件定義為入侵。

網絡安全已經成為網絡發(fā)展的瓶頸，也是一個越來越引起世界關注的重要問題。只有重視了網絡安全，才能將可能出現的損失降到最低。

參考文獻

[1] 郭秋萍.計算機網絡技術[M].北京:清華大學出版社，2008.